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La presente invention se rapporte a un procede de securisation de 
5 I'execution d'un programme informatique et a une entite electronique securisee 
mettant en ceuvre un tel procede. 

L'invention peut notamment etre utilisee pour securiser une carte 
a mlcrocircuit (autrement appelee "carte a puce"). 

Dans la suite de ce document, on entendra par « securisation » 
10 d'un programme informatique : 

- la detection d'attaques mal intentionnees visant a modifier le 
comportement normal d'un programme informatique ; mais aussi 

- tout traitement visant a fiabiliser le deroulement d'un programme 
informatique, et notamment celui d'un programme s'executant dans un 

15 environnement tres peiiurbe, comme un satellite, ou celui d'un programme 
informatique a forte exigence de fiabilite, comme, par exemple, un programme 
de controle d'un implant cardiaque. i* 
Par ailleurs, on entendra par "programme informatique" , tout 
programme, quel que soit le langage informatique et les moyens de 

20 memorisation utilises. Par exemple, et de fagon non limitative, le programme 
informatique peut etre ecrit en langage machine, assembleur, C, C++, Java, 
VHDL. Le programme peut etre memorise dans une memoire permanente, par 
exemple dans une memoire ROM ou EEPROM ou sur un disque dur, ou dans 
une memoire volatile, par exemple de type RAM. Le programme peut etre 

25 egalement materialise par un circuit integre, par exemple de type FPGA ou par 
un circuit ASIC ( Application Specific Integrated Circuit ). 

La presente invention permet la detection d'une attaque destinee 
a modifier le deroulement de I'execution d'un programme informatique 
s'executant sur une entite electronique securisee, par exemple une carte a 

30 microcircuit, une carte PCMIA securisee (par exemple une carte IBM4758), une 
clef USB ou un passeport integrant une puce sans contact dans une de ses 
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pages. Elle permet aussi le declenchement d'une contre-mesure a cette 
attaque. 

La presente invention permet, en particulier, de detecter des 
attaques par perturbation du fonctionnement d'une entite electronique, par 
exemple les attaques de type « attaques par generation de fautes » (en anglais 



"Fault Attack"). 



Ces attaques visent a modifier incitement le contenu ou la lecture 
du contenu d'un registre, d'une memoire ou d'un bus, ou a obliger un 
processeur a ne pas, ou mal, executer certaines instructions d'un programme 
10 informatique. Le programme informatique attaque peut alors se derouler d'une 
facon tres differente de celle qui avait ete prevue au moment de sa conception. 

Ces attaques peuvent, entre autres et de facon connue, dtre 

effectuees : 

- en generant un pic de tension a Tune des bornes d'alimentation 
15 du processeur ; 

- en elevant brusquement sa temperature ; 

- en changeant rapidement sa frequence d'horloge ou sa tension 
d'alimentation ; 

- en appliquant un flash de lumiere, un rayon laser, ou un champ 
20 electromagnetique, sur une partie du silicium qui le compose. 

Selon I'etat actuel de la technique, I'homme du metier dispose de 
differents moyens pour securiser un programme informatique, et notamment 
pour lutter contre les attaques par generation de fautes dans une carte a 
microcircuit. 

25 Une premiere methode consiste a installer, dans les composants 

des cartes a microcircuit, des capteurs qui permettent de detecter de telles 
attaques. 

L'efficacite d'une telle methode est neanmoins restreinte car il est 
en pratique impossible de mettre des capteurs sur toute la surface de ce 
30 composant. Par ailleurs ces capteurs etant egalement composes de silicium, il 
est egalement possible de les perturber ou de modifier les informations qu'ils 
transmettent. 
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Un deuxieme procede de securisation connu et mis en oeuvre 
dans la plupart des systemes d'exploitation des cartes a microcircuit repose sur 
I'utilisation de "semaphore". Un tel procede comporte : 

-une etape de modification du contenu d'une zone memoire 
5 durant I'execution d'un ensemble ^instructions critiques ; et 

-une etape de verification au cours de laqueile on verifie, en lisant 
le contenu de la zone memoire precitee, que i'etape de modification precitee a 
ete realisee. 

Si la zone memoire n'a pas ete modifiee, cela signifie que I'etape 
10 de modification n'a pas ete effectuee, et que, par consequent, les instructions 
critiques precitees n'ont pas ete correctement executees. 

On notera que le terme "semaphore" fait reference dans le present 
document a une notion differente de celle connue dans le domaine de la 
programmation des processus concurrents, et qui porte neanmoins le meme 
15 nom. 

Cette deuxieme methode dont la mise en ceuvre s'effectue par 
logiciel ne presente pas les inconvenients de la premiere methode precitee.,; • 

Neanmoins,. et de facon connue, les semaphores sont 
traditionnellement implements par des variables residant en memoire;>de 
20 travail (RAM) et leur manipulation (positionnement, lecture) est relativement 
lente ou coQteuse en espace memoire. Cette contrainte est particulierement 
penalisante lorsque le programme s'execute sur des systemes disposant de 
ressources limitees (memoire, puissance de calcul, ...) tels que des cartes a 
puce. La presente invention vise une methode de securisation logicielle ne 
25 presentant pas les inconvenients precedents. 

A cet effet, elle concerne un procede de securisation de 
I'execution d'un programme informatique, ce procede comportant : 

- une etape d'empilement d'une valeur predeterminee dans une 
pile d'instructions du programme ; et 

30 ~ une & a P e de depigment de cette pile, cette etape de depilement 

etant adaptee, le cas echeant, a permettre la detection d'une anomalie 
d'execution. 
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On rappellera ici qu'une pile d'instructions est une zone de la 
memoire pour conserver provisoirement des donnees. Les valeurs sont 
empilees dans la pile et d6pilees aux moyens de deux instructions specifiques, 
respectivement appelees PUSH et POP dans la suite de la description. 
5 Ces instructions ne manipulent que des valeurs de taille fixe, par 

exempie d'un octet. 

Utilisation de la pile suit un algorithme de type UFO ("Last In 

First Out"). 

De facon connue, elle memorise, en particulier, I'adresse de retour 
1 0 d'une procedure (instruction RET en assembleur 80x86, par exempie). 

Le procede de securisation selon I'invention utilise done la pile 
d'execution pour memoriser une valeur permettant la detection d'une anomalie 
d'execution. 

Une pile d'execution etant, d'une part d'acces rapide en lecture et 
15 ecriture et, d'autre part, peu coQteuse en espace memoire, le procede de 
securisation selon I'invention est particulierement adapte pour securiser des 
programmes informatiques s'executant sur des systemes disposant de 
ressources limitees. 

Cette utilisation nouvelle de la pile d'instructions presente d'autres 
20 avantages qui seront decrits ulterieurement. 

Dans un mode prefere de realisation, les etapes d'empilement et 
de depilement sont respectivement associees a des elements d'au moins un 
sous-ensemble d'instructions dudit programme. 

Par exempie, l'6tape d'empilement peut etre associee a 
25 I'instruction "open(fichier)" d'ouverture d'un fichier et I'etape de depilement ^ 
I'instruction "close(fichier)" de fermeture de ce fichier. 

Cette caracteristique est particulierement avantageuse, car elle 
permet d'automatiser I'ecriture des instructions de securisation, en associant, 
par exempie a I'aide d'un editeur, les operations d'empilement et de depilement 
30 aux elements precites, a savoir dans I'exemple precedent, les instructions 
"open" et "close". 



let uepui 
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Selon une premiere variante de ce mode prefere de realisation, 
les elements du sous-ensemble ^instructions sont respectivement une 
parenthese ouvrante et une parenthese fermante d'un systeme de parentheses. 

On rappelle a cet effet, qu'en theorie des langages, et de fagon 
5 connue par I'homme du metier des langages informatiques, on dit que I'on se 
trouve en presence d' un systeme de parentheses lorsqu'un texte comporte 
autant de parentheses ouvrantes que de parentheses fermantes et que tout 
debut de ce texte contient un nombre de parentheses ouvrantes superieur ou 
egal au nombre de parentheses fermantes. 
10 Se\or\ cette caracteristique particulierement avantageuse, les 

etapes d'empilement et de depilement peuvent respectivement etre associees 
aux instructions : 

- "(" et ")" ; ou 

- "{" et "}" ;ou 

1 5 - "begin" et "end" ; ou V, 

- "repeat" et "until". 

Dans une autre variante de ce mode prefere de realisation, l'£tape 
de depilement est associee a une instruction de retour d'executioh. du 
programme ou d'un sous-programme de ce programme. 

20 Cette caracteristique permet avantageusement d'utiliser les 

operations normales de depilement effectuees traditionnellement au retour d'un 
programme ou d'un sous programme (lors de I'execution de I'instruction return) 
pour detecter une anomalie d'execution, si les valeurs depilees a cette occasion 
ne correspondent pas a celles qui auraient du etre depilees an cas d'execution 

25 normale du programme. 

Selon une autre caracteristique, le programme est dans un 
langage de programmation qui comporte une premiere instruction dont 
I'execution met en ceuvre I'etape d'empilement et/ou une deuxieme instruction 
dont I'execution met en oeuvre ladite etape de depilement. 
30 Dans ce m ode de realisation, des instructions nouvelles sont 

integrees au langage de programmation, ces instructions ayant chacune une 



fonction propre et, soit une fonction d'empilement, soit une fonction de 
depilement en vue de la securisation du programme. 

Pour reprendre I'exemple brievement introduit ci-dessus, une 
nouvelle instruction baptisee "open(fichier)'\ peut etre creee, cette nouvelle 
instruction permettant a la fois I'ouverture du fichier et I'empilement d'une valeur 
predeterminee dans ia piie ^instructions du programme. 

Ainsi, le programmateur est assure que des fonctions de 
securisation sont mises en ceuvre a chaque ouverture de fichier, sans meme 
qu'il ait besoin de s'en occuper et sans qu'un outil logiciel particulier soit 
necessaire. 

Preferentiellement, la deuxieme instruction termine le programme 
ou un sous-programme de ce programme. 

Ce mode de realisation presente les memes avantages que le 
mode de realisation introduit precedemment et dans lequel les instructions 
d'empilement et de depilement sont associees, et non pas integrees, a des 
elements d'un sous-ensemble destructions du programme. En consequence, il 
ne sera pas decrit en details ci-apres. 

Dans un mode prefere de realisation, la valeur predeterminee est 
representative d'un sous-ensemble d'instructions critiques du programme. 

Cette caracteristique est particulierement avantageuse lorsque le 
procede de securisation est utilise pour securiser plusieurs sous-ensembles 
d'instructions du programme. 

Elle permet de detecter, au cours de I'etape de depilement, qu'un 
sous-ensemble d'instructions particulier a ete execute correctement, et non pas 
un autre sous-ensemble d'instructions dont I'execution aurait entraTne 
I'empilement d'une autre valeur predeterminee. 

L'homme du metier comprendra aisement que cette 
caracteristique peut etre utilisee pour securiser differentes branches d'un test 
(du type, "if, "then", "else" en langage C), une valeur predeterminee differente 
etant empilee dans chacune des branches, et I'etape de depilement etant 
effectuee a la fin de ce test. 



7 



Lorsque le programme fait appel a un sous-programme, cette 
caracteristique permet aussi de s'assurer, pendant I'execution de ce sous- 
programme, que I'on est entre dans ce sous-programme suite a cet appel et 
non pas suite a une attaque par generation de fautes. 
5 Deux exemples de mise en oeuvre de cette caracteristique seront 

detailles ulterieurernent en reference aux annexes A et C. 

Selon une autre caracteristique, le precede de securisation selon 
I'invention comporte une etape de traitement d'anomalie, mise en ceuvre, si, au 
cours de I'etape de depilement, on depile une valeur differente de la valeur 
1 0 predeterminee. 

Cette caracteristique permet avantageusement de mettre en 
ceuvre I'etape de traitement d'anomalie, des qu'une attaque a eu pour 
consequence de modifier I'execution normale du programme et notamment 
I'appel ou le retour d'execution d'une fonction de ce programme. Ce procede de 
15 securisation est alors particulierement efficace. 

Le traitement de I'anomalie peut par exemple, dans le cas de 
('utilisation du procede de securisation dans une carte a microcircuit, consister a 
rendre la carte inoperante, par destruction du systeme d'exploitation de^cette 
carte. 

20 Trois exemples de mise en oeuvre de cette caracteristique seront 

detailles ulterieurernent en reference aux annexes A, C et D. 

Dans un mode de realisation particulier dans lequei le programme 
comporte au moins un appel a un sous-programme, I'etape d'empilement est 
effectuee avant cet appel, et la" valeur predeterminee supprimee de la pile 
25 pendant ('execution de ce sous-programme. 

Cette caracteristique permet ainsi de controler que le sous- 
programme a effectivement ete execute et correctement execute. 

En effet, si I'appel a ce sous-programme a ete saute, ou si I'etape 
de depilement n'a pas ete effectuee, la pile ^instructions conservera la valeur 
30 predeterminee empilee. 

Le depilement ulterieur de cette valeur entrainera la detection de 
I'anomalie d'execution, comme explicite infra en reference aux annexes B et C. 
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Dans ce mode de realisation particulier, la valeur predeterminee 
peut avantageusement etre I'adresse d'une fonction de traitement d'une 
anomalie. 

Ainsi, si le valeur pr6determinee n'est pas depilee pendant 
I'execution du sous-programme, par exemple suite a une attaque ayant pour 
consequence ia non execution de ce sous-programme, ie depiiement uiterieur 
par le processeur de cette valeur entraTnera, la mise en oeuvre de cette fonction 
de traitement. Un exemple sera detaille ulterieurement a I'annexe B. 

Cette caracteristique permet de declencher la fonction de 
traitement si le programme subit une attaque quelconque dont la consequence 
est d'eviter I'execution du sous-programme. Elle est done particulierement utile 
pour securiser des fonctions critiques, par exemple une procedure 
d'authentifi cation. 

Dans un autre mode de realisation particulier dans lequel le 
programme comporte au moins un appel a un sous-programme, Petape 
d'empilement est effectu6e pendant I'execution du sous-programme, et la 
valeur predeterminee supprimee apres execution de ce sous-programme. 

Cette caracteristique permet ainsi de controler que le retour de ce 
sous-programme s'effectue correctement. 

En effet, si le retour de ce sous-programme a ete perturb§, la pile 
d'instructions conservera la valeur predeterminee empilee. 

Ce mode de realisation particulier sera detaille en reference a 

I'annexe D. 

Dans cet autre mode de realisation particulier, la valeur 
pr§determin6e peut avantageusement §tre I'adresse d'une fonction de 
traitement d'une anomalie. 

Pour les raisons evoquees pn§cedemment, cette caracteristique 
permet de declencher la fonction de traitement si le programme subit une 
attaque quelconque dont la consequence est d'eviter I'execution du sous- 
programme. Elle est done particulierement utile pour securiser des fonctions 
critiques, par exemple une procedure d'authentification. 
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Un exemple de mise en oeuvre de cette caracteristique sera 
donne en reference a I'annexe E. 

L'invention vise aussi un support d'informations lisible par un 
systeme informatique, eventuellement totalement ou partiellement amovible, 
5 notamment CD-ROM ou support magnetique, tel un disque dur ou une 
disquette, ou support transmissible tel un signal electrique ou optique, ce 
support d'informations comportant des instructions d'un programme 
informatique permettant la mise ne ceuvre d'un procede de securisation tel que 
decrit brievement ci-dessus, lorsque ce programme est charge et execute par 
10 un systeme informatique. 

L'invention vise egalement un programme d'ordinateur stocke sur 
un support d'informations, ce programme comportant des instructions 
permettant la mise en ceuvre d'un procede de securisation tel que decrit 
brievement ci-dessus, lorsque ce programme est charge et execute par un 
15 systeme informatique. 

L'invention vise egalement une entite electronique securisee et 
une carte a microcircuit comportant des moyens de mise en ceuvre d'un 
procede de securisation tel que decrit brievement ci-dessus. 

Les avantages et caracteristiques particulieres propres aux 
20 support d'information, au programme d'ordinateur et a la carte a microcircuit 
etant les memes que ceux exposes ci-dessus concemant le procede de 
securisation selon l'invention, ils ne seront pas rappeles ici. 

D'autres aspects et avantages de la presente invention 
apparaTtront plus clairement a la lecture de la description de modes particuliers 
25 de realisation qui va suivre, cette description etant donnee uniquement a titre 
d'exemple non limitatif et faite en reference aux annexes A a E qui comportent 
cinq exemples de programmes informatiques securises conformement a 
l'invention. 

Ces programmes sont ecrits en langage C et en assembleur 
30 80c51. Afin d'en faciliter la description, chaque ligne est precedee d'un 
commentaire compris entre les chaTnes de caracteres "/*" et "*/". 
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La description d'une carte a microcircuit conforme a I'invention 
dans un mode prefere de realisation sera effectu6e en reference a la figure 1 . 

L'annexe A comporte 33 lignes destructions numerotees /*a1*/ a 
/*a33*/ d'un programme informatique dont I'execution est securisee par un 
5 procede de securisation conforme a I'invention dans un mode prefere de 
realisation. 

La ligne /*a1*/ n'est pas une instruction a proprement parler. Elle 
symbolise le fait que le programme de l'annexe A peut contenir un certain 
nombre destructions, en lieu et place de la chaTne de caracteres en plus 
10 des instructions servant a la securisation de ce programme. Elle represente un. 
ensemble d'instructions sans rapport avec la presente invention. 

La ligne /*a2*/ comporte une directive #pragma asm, indiquant au 
compilateur que les lignes d'instructions qui suivent sont en assembleur 80c51. 

La ligne /*a3*/ comporte une instruction dont I'execution met en 
15 ceuvre une etape d'empilement de la valeur predeterminee 0 (en notation 
hexadecimale) dans la pile d'instructions du programme de l'annexe A. Pour 
simplifier, on dira par la suite qu'on empile la valeur 0 a la ligne /*a37. 
Puis, on empile la valeur 1 a la ligne /*a47. 

Dans le mode prefere de realisation decrit lei, les valeurs 
20 predetermines OOh et 01 h represented respectivement les octets de poids fort 
et de poids faible de la valeur 1 (en notation hexadecimale) codee sur 2 octets. 

La ligne /*a5*/ comporte une directive #pragma endasm, indiquant 
au compilateur que les lignes d'instructions qui suivent ne sont plus en 
assembleur 80c51, mais en langage C. 
25 Les lignes /*a67 et /*a7*/ similaires a la ligne /*a1 */ precedemment 

decrite, represented un ensemble d'instructions sans rapport avec la presente 
invention. 

La ligne /*a8*/ comporte une instruction au cours de laquelle on 
teste si le contenu de la variable "test" est egal a "VRAI". De facon connue, si 
30 tel est le cas au moment de I'execution du programme de l'annexe A, le 
processeur executera les instructions /*a9V a /*a237 suite au test de la ligne 
/*a87. 
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Sinon, il executera directement I'instruction de la ligne /*a24*/. 

La ligne /*a9*/ est identique a la ligne /*a27 precedemment 

decrite. 

Les lignes /*a107 et /*a117 sont similaires aux lignes /*a3*/ et 
5 /*a4*/ deja decrites. Elles permettent d'empiler en deux temps la valeur 1 (en 
noiaiion hexadecimale) codee sur deux octets. 

La ligne /*a127 est identique a la ligne /*a57 precedemment 

decrite. 

Les lignes /*a13*/ et /*a14*/ similaires a la ligne /*a17 
10 precedemment decrite, represented un ensemble destructions sans rapport 
avec la presente invention. Ces instructions peuvent bien entendu manipuler la 
pile d'instructions, a condition de laisser cette pile d'instructions, a Tissue de la 
ligne /*a14*/ dans I'etat ou elle se trouvait avant I'instruction /*a13*/. 

La ligne /*a157 est identique a la ligne /*a2*/ precedemment 

15 decrite. 

La ligne /*a167 comporte une instruction dont I'execution met en 
oeuvre une etape de depilement de la pile d'instructions, la valeur depilee etant 
memorisee dans un registre A. Pour simplifies on dira par la suite qu'on .depile 
dans le registre A & la ligne /*a1 6*/. , :j 

20 A '''ssue de I'instruction /*a16*/, le registre A memorise en 

consequence la derniere valeur empilee dans la pile, celle-ci fonctionnant selon 
un m§canisme LIFO. 

La ligne /*a177 comporte une instruction permettant de comparer 
le contenu du registre A avec la valeur 02H. Normalement, si le programme n'a 
25 pas subi d'attaque lors de son execution depuis la fin de I'instruction de la ligne 
/*a117, le contenu du registre A contient la valeur 02H empilee au cours de 
I'instruction de la ligne /*a117. 

L'etape de depilement de la ligne /*a167 permet ainsi la detection 
d'une anomalie d'execution, conformement a la presente invention. 
30 Si > au cours de l'etape de comparaison de la ligne /*a177 on 

trouve que la valeur du registre A est differente de la valeur 02H, le programme 
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de I'annexe A se branche a I'adresse "anomalie" au cours de I'instruction de la 
Iigne/*a18*/. 

Cette adresse "anomalie" est, dans le mode de realisation decrit 
ici, I'adresse d'une etape de traitement d'anomalie du procede de securisation 
5 selon I'invention. Dans la pratique, I'adresse "anomalie" est une adresse en 
notation hexadecimaie directement interpretable par le processeur. 

En revanche, si, au cours de I'etape de comparaison de la ligne 
/*a17*/ on trouve que le registre A memorise la valeur 02H, le programme de 
I'annexe A execute I'instruction de la ligne /*a1 9*/. 
10 Le s lignes /*a19*/ a /*a21*/ sont des lignes similaires aux lignes 

/*a167 a /*a187 precedemment decrites : 

- depilement dans le registre A a la ligne /*a19*/ ; 

- comparaison du registre A, avec la valeur 00H a la ligne /*a207, 
la valeur 00H correspondant a la valeur predetermine empilee a la ligne 

15 /*a107;et 

- branchement a I'adresse "anomalie" au cours de I'instruction de 
la ligne /*a217 si le registre A ne contient pas la valeur 00H au moment de 
I'execution de I'instruction de la ligne /*a207. 

En revanche, si le registre A contient la valeur 00H, le programme 
20 execute I'instruction de la ligne /*a227 identique a la ligne /*a57 precedemment 
decrite. 

Les lignes /*a247 et /*a257 similaires a la ligne /*a17 
precedemment decrite, represented un ensemble ^instructions sans rapport 
avec la presente invention. 

25 Les lignes /*a26*/ a /*a337 sont des lignes similaires aux lignes 

/*a157 a /*a227 precedemment decrites : 

Elles comportent des etapes /*a287 et /*a307 de depilement 
permettant de detecter une anomalie d'execution du programme si la pile a ete 
corrompue et qu'elle ne contient pas, juste avant I'execution de I'instruction de 

30 la ligne /*a277 les valeurs predetermines 01 H et 00H empilees respectivement 
aux lignes /*a47 et /*a37. 
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En conclusion, les deux sous-ensembles d'instructions, 
respectivement constitues par les lignes /*a67 a /*a257 et /*a13*/ a /*a147 sont 
securises. 

Le sous-ensemble d'instructions constitue par les lignes /*a6*/ et 
5 /*a25*/ est securise grace : 

-a I'etape d'empilement (lignes /*a37 et /*a47) de la valeur 
predeterminee 1 codee sur 2 octets ; et 

- a I'etape de depilement des lignes /*a27*/ et /*a30*/. 

De meme, le sous-ensemble d'instructions constitue par les lignes 
1 0 /*a1 3*/ et /*a14*/ est securise grace : 

-a I'etape d'empilement (lignes /*a107 et /*a11*/) de la valeur 
predeterminee 2 codee sur 2 octets ; et 

- a I'etape de depilement des lignes /*a167 et /*a197. 

Cette implementation n'est nullement limitative, les valeurs 
15 predetermines 1 et 2 auraient aussi pu etre identiques ou choisies de fagon 
aleatoire. 

L'annexe B comporte 28 lignes d'instructions numerotees /*b17 a 
/*b28*/ d'un programme informatique dont I'execution est securisee par un 
procede de securisation conforme a I'invention dans un mode pref$re de 
20 realisation. 

Les lignes /*b17 et /*b27 constituent les deux premieres lignes de 
declaration de la fonction "function" en langage C, cette fonction ne comportant 
ni parametre d'entree ni valeur de retour. La ligne /*b117 comporte la derniere 
instruction de la declaration de cette fonction. 
25 La lj 9ne /*b37 similaire a la ligne /*a17 precedemment decrite en 

reference a l'annexe A, represente un ensemble d'instructions sans rapport 
avec la presente invention. 

La ligne /*b47 est identique a la ligne /*a27 precedemment decrite 
en reference a l'annexe A. 

30 Au c °urs des instructions des lignes /*b57 et /*b67, on effectue, 

en deux temps, une etape d'empilement d'une valeur predeterminee codee sur 
deux octets, cette valeur predeterminee etant, dans ce mode prefere de 
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realisation Padresse d'une fonction OS_ki!lcard de traitement d'une anomalie. 
Dans la pratique, Padresse "OSJ<illcard" est une adresse en notation 
hexadecimale directement interpr6table par le processeur. 

Dans le cas de Putilisation du precede de s6curisation dans une 
5 carte a microcircuit, la fonction OSJdllcard peut par exernple inhiber le 
fonctionnement de la carte par destruction de son systeme d'expioitation. 

La ligne /*b7*/ est identique a la ligne /*a5*/ precedemment d^crite 
en reference a Pannexe A. 

La ligne /*b8*/ similaire a la ligne /*a1*/ pr6c6demment decrite en 
10 reference a Pannexe A, represente un ensemble destructions sans rapport 
avec la pr^sente invention. 

La ligne /*b97 comporte une instruction d'appel 3 une fonction 
critique "fonction_critique n , dont le code sera decrit en reference aux lignes 
/*b127a/*b287. 

15 De fagon connue, Pappel a un sous-programme entrame 

automatiquement Pempilement de Padresse de retour de ce sous-programme 
dans la pile ^instructions. Cette adresse de retour, codee sur 2 octets, occupe 
done deux registres de la pile. Dans Pexemple decrit ici, cette adresse 
correspond a Padresse de Instruction de la ligne /*b107, cette ligne devant §tre 

20 executee au retour de la fonction "fonction_critique M . 

Les lignes /*b12*/ et /*b137 d'une part et /*b287 d'autre part 
constituent les deux premieres lignes et la derni&re ligne de declaration de la 
fonction "fonction^critique", cette fonction ne comportant ni param6tre d'entree 
ni valeur de retour. 

25 Apres ('execution des instructions des lignes /*b127 et /*b137, les 

quatre dernteres valeurs empilees dans la pile destructions sont, dans Pordre 
chronologique : 

- Poctet de poids fort de Padresse de la fonction OS_killcard (ligne 

/*b57) ; 

30 - Poctet de poids faible de Padresse de ia fonction OS_killcard (ligne 

/*b6*/) ; 
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- ('octet de poids fort de I'adresse de la premiere instruction de la 
Iigne/*b107;et 

- I'octet de poids faible de I'adresse de la premiere instruction de la 
Iigne/*b10*/. 

5 La ligne /*b14*/ similaire a la ligne /*a1*/ precedemment decrite en 

reference a i'annexe A, represente un ensemble d'instructions sans rapport 
avec la presente invention. 

De meme que decrit precedemment en reference aux lignes 
/*a137 et /*a14*/ de I'annexe A, on supposera que ces instructions laissent la 
1 0 pile d'instructions, dans I'etat ou elle se trouvait avant Instruction /*b1 47. 

La ligne /*b157 est identique a la ligne /*a27 precedemment 
decrite en reference a ('annexe A. 

A la ligne /*b167, on depile la pile d'instructions dans le registre A, 
le contenu de ce registre A etant ensuite sauvegarde dans un registre R7 a 
15 I'etape/*b177. 

De m§me, a la ligne /*b187, on depile a nouveau |a pile 
d'instructions dans le registre A, le contenu de ce registre A etant sauvegarde 
dans un registre R6 a I'etape /*b197. 

Avec ce qui a ete dit precedemment, et en cas d'execution 
20 normale du programme de I'annexe B, les registres R6 et R7 contiennent done 
respectivement, a Tissue de I'execution de I'instruction de la ligne /*b197 : 

- I'octet de poids fort de I'adresse de la premiere instruction de la 
ligne /*b1 07 ; et 

- I'octet de poids faible de I'adresse de la premiere instruction de la 
25 ligne /*b1 07. 

Ensuite, on d<Spile deux fois dans le registre A, la pile 
d'instructions aux lignes /*b207 et /*b217, ce qui revient, en cas d'execution 
normale du programme de I'annexe B, a supprimer I'adresse sur deux octets de 
la fonction OS_killcard de la pile d'instructions pendant I'execution du sous- 
30 programme "fonction_critique". 

A la ligne /*b227, on memorise dans le registre A. le contenu du 
registre R6, a savoir I'octet de poids fort de la premiere instruction de la ligne 
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/*b10*/, cette valeur etant empilee dans la pile d'instructions a Petape de la ligne 
/*b23*/. 

De fagon identique, on empile Poctet de poids fatble de la premiere 
instruction de la ligne ^blO*/, cet octet etant memorise dans le registre R7, aux 
lignes /*b24*/ et /*b25*/. 

La ligne rb26*/ est identique a ia ligne /*a5*/ precedemment 
d6crite en reference a Pannexe A. 

La ligne /*b27*/ similaire & la ligne /*a1*/ precedemment decrite en 
reference & Pannexe A, repr6sente un ensemble destructions sans rapport 
avec la presente invention. 

La ligne /*b28*/ est la derniere ligne du sous-programme 
"fonction_critique\ De fagon connue, elle se traduit en assembleur par une 
instruction de type "RETURN" ou "RET" dont Pexecution enframe !e saut du 
programme a Padresse m6moris6e dans les deux premiers registres de la pile 
destruction. 

SMI ne subit pas d'attaque lors de son execution, le programme se 
branche done a la premiere instruction de la ligne /*b10*/, Padresse de cette 
instruction ayant ete empire aux iignes /*b23*/ et /*b25*/ 

La ligne /*b!0*/ similaire a la ligne /*a1*/ prec§demment decrite en 
reference a Pannexe A, represente un ensemble destructions sans rapport 
avec la presente invention. 

La ligne /*b1 1*/ termine la fonction "function". 

En conclusion, dans le mode de realisation particulier de Pannexe 
B, Petape d'empilement de Padresse de la fonction OSJdllcard est effectuee 
avant Pappel au sous-programme "fonction_critique", cette adresse 6tant 
supprim£e de la pile pendant Pexecution de ce sous-programme, aux lignes 
/*b20*/ et /b21V 

Ce mode de realisation permet ainsi de controler que le sous- 
programme "fonction_critique" a 6t6 effectivement execute. 

Par exemple, si Pappel a ce sous-programme a 6t6 perturb6, ou, 
plus generalement, si Petape de depilement n'a pas ete effectuee, la pile 
d'instructions conservera la valeur de la fonction OS_killcard, le d6pilement 
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ulterieur de cette valeur, par exemple lors d'une Instruction de retour 
d'execution, entrainant la detection de cette anomalie d'execution, et I'execution 
de la fonctlon OSJdllcard de traitement d'une anomalie. • 

L'annexe C comporte 32 lignes ^instructions numerotees /*c1*/ a 
5 /*c327 d'un programme informatique dont I'execution est securisee par un 
precede de securisation conforme a I'invention dans un mode prefere de 
realisation. 

Les lignes /*c1*/ a /*c117 sont similaires aux lignes /*b17 a /*b11*/ 
decrites en reference a l'annexe B, a la difference pres que Ton empile dans la 
10 pile d'instruction, la valeur predeterminee 05F1H codee en hexadecimal sur 
deux octets, au lieu de I'adresse de la fonction OS_killcard (lignes /*c5*/ et 
/*c67). 

Cette etape d'empilement est la aussi effectuee avant I'appel au 
sous-programme fonction_critique. 

15 Dans ce mode de realisation particulier, cette valeur 

predeterminee 05F1H est representative du sous-ensemble constitue par les 
instructions des lignes /*c1 27 a /*c1 9*/. . .:. 

Les lignes /*c127 a /*c197 sont similaires aux lignes /*b127 a 
/*b19*/ decrites en reference a l'annexe B. " A 

20 En cas d'execution normale du programme de l'annexe C, les 

registres R6 et R7 contiennent done respectivement, a Tissue de I'execution de 
instruction de la ligne /*c19*/, I'octet de poids fort et I'octet de poids faible de 
I'adresse de la premiere instruction de la ligne /*c10*/ correspondant a I'adresse 
de retour de la fonction "fonction_critique". 

25 ° n d £P''e ensuite la pile destructions dans le registre A a la ligne 

/*c207, le contenu de ce registre etant ensuite compare avec la valeur 
hexadecimale F1H a la ligne /*c21*/. 

Normalement, si le programme n'a pas subi d'attaque, notamment 
au moment de I'appel a la fonction "fonction_critique", le registre A contient la 

30 valeur F1 H empilee au cours de I'instruction de la ligne /*c57. 

L'etape de depilement de la ligne /*c207 permet ainsi la detection 
d'une anomalie d'execution, conformement a la presente invention. 
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Si, aii cours de I'etape de comparaison de la ligne /*c21*/ on 
trouve que la valeur du reglstre A est differente de la valeur F1H, le programme 
de I'annexe C se branche a I'adresse "OS_killcard" au cours de I'instruction de 
la ligne /*c227. Cela peut notamment se produire a la suite d'une attaque par 
generation de faute qui entratnerait I'execution de la fonction "fonction_critique" 
sans qu'elle ait ete appelee. 

Dans ce mode de realisation du procede de securisation selon 
I'invention, ie programme de traitement d'anomalie OS_killcard est done mis en 
ceuvre, si, au cours de I'etape de depilement de I'instruction /*c20*/, on depile 
une valeur differente de la valeur predeterminee F1H empilee a I'instruction 
/*c67. 

En revanche, si, au cours de I'etape de comparaison de la ligne 
/*c217 on trouve que le registre A memorise la valeur F1H, le programme de 
I'annexe C execute I'instruction de la ligne /*c237. 

Les lignes /*c237 a /*c257 sont des lignes similaires aux lignes 
/*c207 a /*c227 precedemment decrites : 

- depilement dans le registre A a la ligne /*c237 ; 

- comparaison du registre A, avec la valeur 05H a la ligne /*c247, 
la valeur 05H etant la valeur predeterminee empilee a la ligne /*c57 ; et 

- branchement a I'adresse "OSJdllcard" au cours de I'instruction 
de la ligne /*c257 si le registre A ne contient pas la valeur 05H au moment de 
I'execution de I'instruction de la ligne /*c25*/. 

En revanche, si le registre A contient la valeur 05H, le programme 
execute I'instruction de la ligne /*c267. 

Quoiqu'il en soit, I'execution des instructions des lignes /*c207 et 
/*c237 supprime la valeur predeterminee 05F1 H de la pile d'execution. 

Les lignes /*c267 a /*c297 sont similaires aux lignes /*b227 a 
/*b257 precedemment decrites en reference a I'annexe B. 

Elles permettent d'empiler dans la pile d'instructions les valeurs 
memorisees dans les registres R6 et R7 lors de I'execution des instructions des 
lignes /*c177 et /*c197, a savoir respectivement : 
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- I'octet de poids fort de Tadresse de la premiere instruction de la 
ligne /*d 07 ; et 

- I'octet de poids faible de Tadresse de la premiere instruction de la 
ligne /*d 07. 

5 Les lignes /*c307 a /*c327 sont similaires aux lignes /*b267 a 

/*b287 precedemment decrites en reference a I'annexe B. 

S'il n'y a pas eu d'attaque, le programme se branche done a la 
premiere instruction de la ligne /*c10*/, I'adresse de cette instruction ayant ete 
empilee aux lignes /*c27*/ et /*c297 
1 0 La n 9ne /*c1 0*/ similaire a la ligne /*a1 7 precedemment decrite en 

reference a I'annexe A, represente un ensemble ^instructions sans rapport 
avec la presente invention, et la ligne /*c117 termine la fonction "functionl" de 
I'annexe C. 

Dans ce mode de realisation, la valeur 05F1H aurait pu §tre 
15 I'adresse d'une fonction de traitement d'anomalie. Ce mode particular de 
realisation permet de renforcer la securisation du programme, car meme;si une 
attaque se produit au cours de I'execution du test des lignes /*c207 a /*c257, 
cette attaque serait detectee par la mise en oeuvre ulterieure de cette fonction 
de traitement d'anomalie. 
20 En variante, plusieurs adresses de fonctions de traitement 

d'anomalie peuvent §tre utilisees, chacune d'entre elles etant une valeur 
predeterminee associee a un ensemble d'instructions critiques. 

L'annexe D comporte 32 lignes d'instructions numerotees /*d17 a 
/*d327 d'un programme informatique dont I'execution est securisee par un 
25 precede de securisation conforme a I'invention dans un mode prefere de 
realisation. 

Dans ce mode de realisation particulier, le programme comporte, 
a la ligne /*d47, un appel a un sous-programme "fonction_critique". 

Cet appel entraTne automatiquement I'empilement de I'adresse de 
30 retour de ce sous-programme, a savoir I'adresse de I'instruction de la ligne 
/*d57. 
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Au cours des instructions des lignes 1*620*1 a 1*623*1 du sous- 
programme "fonction_critique", on memorise dans les registres R6 et R7 les 
premieres vaieurs de la pile destructions, a savoir I'adresse de retour, codee 
sur deux octets, de ce sous-programme. 

Puis, on empile la vaieur predeterminee 05F1H aux lignes /*d247 

et /*d257. 

On notera que dans ce mode de realisation, cette etape 
d'empilement est effectuee pendant i'execution du sous-programme 
"fonction_critique". 

Enfin, on empile, au cours de I'execution des instructions des 
lignes 1*627*1 et /*d29*/, le contenu des registres R6 et R7, ces registres 
contenant I'adresse de i'instruction de la ligne /*d5*/, comme explique supra. 

Le programme de I'annexe D se branche done a la ligne 1*65*1 a 
Tissue du sous-programme "fonction_critique". 

Avant I'execution de I'instruction de la ligne /*d57, les deux 
premieres vaieurs de la pile d'instructions sont normalement les vaieurs 
predeterminees 05H et F1 H empilees aux lignes /*d24*/ et 1*625*1. 

La ligne /*d5*/ similaire a la ligne /*a1*/ precedemment decrite en 
reference a ('annexe A, represente un ensemble d'instructions sans rapport 
avec la presente invention. On supposera que ces instructions laissent la pile 
d'instructions, dans I'etat ou elle se trouvait avant la ligne 1*65*1. 

Les lignes 1*67*1 a /*d12*/ sont similaires aux lignes /*c20*/ a 
/*c25V decrites precedemment en reference a I'annexe C : 

- depilement dans le registre A aux lignes 1*67*1 et /*d107; 

- comparaison du registre A, avec les vaieurs predeterminees F1H 
et 05H aux lignes /*d8*/ et /*d1 17 ; 

- branchement a I'adresse "OS_killcard" au cours de I'instruction 
/*d97 (respectivement /*d127) si le registre A ne contient pas la vaieur F1H 
(respectivement 05H) au moment de I'execution de i'instruction de la ligne /*d97 
(respectivement /*d127). 
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Le sous-programme OS_killcard de traitement d'anomalie est ainsi 
mis en oeuvre, si, par exemple, au cours de I'etape de depilement 1*67*1, on 
depile une valeur differente de la valeur predetermine F1H. 

On notera que dans ce mode de realisation, la suppression de la 
5 valeur predetermine 05F1H de la pile d'execution est effectuee apres 
execution du sous-programme "fonction_critique" et non pas suite a une 
attaque ayant lieu lors de I'execution d'un autre sous-programme, cette attaque 
ayant pour consequence I'execution des lignes /*d6*/ a /*d13*/. 

Cette implementation permet done de s'assurer que I'execution 
10 des instructions des lignes /*d67 a /*d13*/ est effectuee apres I'execution du 
sous-programme "fonction_critique". 

Les lignes /*d147 et/*d157 terminent le programme de I'annexe D. 

L'annexe E comporte 28 lignes d'instructions numerotees /*e17 a 
/*e28*/ d'un programme informatique dont I'execution est securisee . par un 
15 procede de securisation conforme a I'invention dans un mode prefere de 
realisation. 

Les lignes /*e1*/ a /*e57 et /*e127 a /*e287 sont respectiyement 
similaires aux lignes /*d17 a /*d57 et /*d167 a /*d327 decrites en reference a 
I'annexe D, a la difference pres que I'on empile dans la pile destruction 
20 I'adresse de la fonction de traitement d'anomalie OS_killcard (lignes /*e207 et 
/*e21*/) au lieu de la valeur predeterminee 05F1 H. 

Cette etape d'empilement est la aussi effectuee pendant 
I'execution du sous-programme "fonction_critique". 

Le programme de I'annexe E se branche done a la ligne /*e5*/ a 
25 I'issue du sous-programme "fonction_critique". 

Avant I'execution de I'instruction de la ligne /*e57, les deux 
premieres valeurs de la pile d'instructions sont normalement les adresses de 
poids faible et de poids fort de la fonction OS_killcard, ces valeurs 
predetermines ayant ete empilees aux lignes /*e21*/ et /*e207. 

30 Ces valeurs sont depilees au cours de I'execution des instructions 

des lignes /*e77 et /*e87. 
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Ce mode de realisation partlculier permet de s'assurer que la 
fonction "fonction_critique" est executee apres avoir ete effectivement appelee, 
et non a ia suite d'une attaque par generation de faute. 

Dans le cas contraire en effet, le depilement de I'adresse de la 
fonction OS_killcard, au moment inevitable du retour d'execution d'un sous- 
programme, permetirait ia detection d'une anomaiie de d'execution, notamment 
par la mise en ceuvre de cette fonction. 

Les lignes /*e10*/ et /*e1 1*/ terminent le programme de I'annexe E. 

La figure 1 represente une carte a microcircuit 100 conforme a 
I'invention dans un mode prefere de realisation. 

Pour simplifier, seul le contenu du microcircuit est represente, et 
ce de fagon schematique. 

De fagon connue, la carte a microcircuit selon I'invention 100 
comporte en outre des elements materiels et logiciels classiques d'une carte 3 
microcircuit, a savoir notamment un support en matiere semi-rigide et des 
moyens d'alimentation. Ces elements ne seront pas decrits ici. 

La carte a microcircuit selon I'invention 100 comporte des moyens 
de mise en ceuvre d'un procede de securisation tel que decrit precedemment en 
reference aux annexes A a E. 

Dans le mode de realisation prefere decrit ici, ces moyens sont 
constitues par un processeur 110, associe notamment a une memoire non- 
volatile de type EEPROM, a une memoire vive RAM comportant une pile 
destructions STACK, et a une memoire morte ROM comportant un systeme 
d'exploitation OS. 

La memoire semi-volatile EEPROM comporte notamment les 
programmes des annexes A a E, ces programmes etant lus par le processeur 
100 pour leur execution. 

La memoire EEPROM comporte egalement les deux sous- 
programmes "anomaiie" et "OS_kilIcard". 

Lors de I'execution des programmes des annexes A a E, les 
registres R6, R7 et test sont memorises dans la memoire vive RAM. 
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Dans le mode de realisation decrit ici, le registre A est 
I'accumulateur du processeur 110. 
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ANNEXE A 



/*a1*/ 






/*a27 


#pragma asm 


/*a37 


push #00h 


/*a4*/ 


push #01 h 


/*a5*/ 
ra67 


#pragma endasm 


/*a7*/ 






/*a87 


if (test : 


= VRAI) { 


/*a97 




#pragma asm 


/*a107 




push #00h 


/*a11*/ 




push #02h 


/*a12*/ 




#pragma endasm 


/*a13*/ 






/*a147 






/*a157 




#pragma asm 


/*a167 




pop A 


/*a17*/ 




XRL A,#02h 


/*a187 




JNZ anomalie 


/*a19*/ 




pop A 


/*a20*/ 




XRL A,#00h 


/*a21*/ 




JNZ anomalie 


/*a227 




#pragma endasm 


/*a237 


} 




/*a247 






/*a257 






/*a267 


#pragma asm 


/*a27*/ 


pop A 




/*a287 


XRL A,#01h 


/*a297 


JNZ anomalie 


/*a30*/ 


pop A 




/*a317 


XRL A,#00h 


/*a32*/ 


JNZ anomalie 


/*a337 


#pragma endasm 
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ANNEXE B 



/*b1*/ void function(void) 

/*b2*/ { 

/*b3*/ 

/*b4*/ #pragma asm 

/*b57 push #HIGH(OS_killcard) 

/*b6*/ push #LOW(OS_killcard) 

/*b77 #pragma endasm 

/*b87 

/*b97 fonction critiqueO; 
/*b107 

/*b11*/ } 

/*b127 void fonction critique(void) 

/*b137 { " \ 

/*b14*/ 

/*b157 #pragmaasm 

/*b167 pop A 

/*b177 mov R7.A 

/*b187 pop A 

/*b197 movR6,A 

/*b207 pop A 

/*b21*/ pop A 

• /*b227 mov A.R6 

/*b23*/ push A 

/*b247 mov A.R7 

/*b25*/ push A 

/*b26*/ #pragma endasm 
/*b27*/ 

/*b287 } 
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ANNEXE C 

/*c1*/ void functionl (void) 

/*c27 { 

/*c37 

/*c47 #pragma asm 

/*c5*/ push #05h 

fc6*/ push#F1h 

/*c7*/ #pragma endasm 
/*cfc*/ 

/*c9*/ fonction_critique(); 
/*c10*/ 

/*c117 } 

/*c127 void fonction_critique(void) 

/*c13*/ { 

/*c147 

/*c15*/ #pragma asm 

/*c167 pop A 

/*c17*/ mov R7.A 

/*c18*/ pop A 

/*c197 mov R6.A 

/*c20*/ pop A 

/*c21*/ XRL A, #F1h 

/*c22*/ JNZ OS_killcard 

/*c23*/ pop A 

/*c24*/ XRL A, #05h 

/*c25*/ JNZ OS_killcard 

/*c26*/ mov A.R6 

/*c27*/ push A 

/*c28*/ mov A.R7 

/*c29*/ push A 

/*c30*/ #pragma endasm 
/*c31*/ 

/*c32*/ } 
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ANNEXE D 



/*d1*/ 
1*62*1 
1*68*1 
/*d4*/ 

/ \Jk\J I 

1*66*1 

1*67*1 

1*68*/ 

1*69*1 

/*d10*/ 

/*d11*/ 

/*d127 

/*d137 

1*614*/ 

/*d157 



void function(void) 
{ 

fonction_critique(); 

#pragma asm 
pop A 

XRL A,#F1h 
JNZ OS_killcard 
pop A 

XRL A, #05h 
JNZ OS_killcard 
#pragma endasm 

• a « 

} 



/*d167 
1*617*1 
1*618*/ 
/*d19*/ 
/*d207 
/*d21*/ 
1*622*1 
1*622,*! 
/*d24*/ 
/*d257 
/*d267 
1*627*1 
1*628*/ 
/*629*/ 
1*630*/ 
/*d31*/ 
/*d327 



void fonction_critique(void) 

#pragma asm 
pop A 
mov R7,A 
pop A 
mov R6,A 
push #05h 
push #F1h 
mov A,R6 
push A 
mov A.R7 
push A 

#pragma endasm 



} 
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ANNEXE E 

/*e1*/ void function(void) 

/*e2*/ { 

/*e37 

/*e4*/ fonction_critique() 

/*e57 

/*e6*/ #pragma asm 

l*eTI pop A 

/*e8*/ pop A 

/*e9*/ #pragma endasm 

/*e10*/ 

/*e117 } 



/*e 1 2*/ void fonction_cr'rtique(void) 

/*e137 { 

/*e147 

/*e15*/ #pragma asm 

/*e16*/ pop A 

/*e17*/ mov R7.A 

/*e187 pop A 

/*e19*/ mov R6,A 

/*e20*/ push #HIGH(OS_killcard) 

/*e21*/ push #LOW(OS_kiilcard) 

/*e22*/ movA,R6 

/*e23*/ push A 

/*e24*/ movA,R7 

/*e25*/ push A 

/*e26*/ #pragma endasm 

/*e277 

/*e287 } 
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REVINDICATIONS 

1. Procede de securisation de I'execution d'un programme 
informatique, le procede etant caracterise en ce qu'il comporte : 
5 -une etape d'empilement d'une valeur predeterrninee dans une 

pile d'instructions du programme ; et 

-une etape de depilement de ladite pile, cette etape de depilement 
etant adaptee, le cas echeant, a permettre la detection d'une anomalie de ladite 
execution. 

10 2 - Procede de securisation selon la revendlcation 1, caracterise en 

ce que lesdites etapes d'empilement et de depilement sont respectivement 
associees a des elements d'au moins un sous-ensemble destructions dudit 
programme. 

3. Procede de securisation selon la revendication 2, caracterise en 
15 ce que lesdits elements sont respectivement une parenthese ouvrante et une 

parenthese fermante dans un systeme de parentheses. 

4. Procede de securisation selon la revendication 2, caracterise en 
ce que ladite etape de depilement est associee a une instruction de retour 
d'execution dudit programme ou d'un sous-programme dudit programme. 

20 5 - Procede de securisation selon I'une quelconque des 

revendications 1 a 4, caracterise en ce que ledit programme est ecrit dans un 
langage de programmation, ce langage comportant une premiere instruction 
dont I'execution met en ceuvre ladite etape d'empilement et/ou une deuxieme 
instruction dont I'execution met en ceuvre ladite etape de depilement. 

25 6 - Procede de securisation selon la revendication 5, caracterise en 

ce que la deuxieme instruction termine ledit programme ou un sous-programme 
dudit programme. 
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7. Proc6d£ de securisation selon Tune quelconque des 
revendications 1 a 6, caracterise en ce que ladite valeur predeterminee est 
representative d'un sous-ensemble destructions critiques dudit programme. 

8. Precede de securisation selon Tune quelconque des 
revendications 1 a 7, caracterise en ce qu'H comporte une etape de traitement 
d'anomalie, mise en oeuvre, si, au cours de ladite etape de depilement, on 
depile une valeur differente de ladite valeur predeterminee. 

9. Procede de securisation selon Tune quelconque des 
revendications 1 a 8, dans lequel ledit programme comporte au moins un appel 
a un sous-programme, caracterise en ce que ladite etape d'empilement est 
effectuee avant ledit appel, et en ce qu'on supprime ladite valeur predeterminee 
de ladite pile pendant Pexecution dudit sous-programme. 

10. Procede de securisation seion la revendication 9, caracterise 
en ce que ladite valeur predeterminee est Tadresse d'une fonction de traitement 
d'une anomalie. 

11. Proc6de de securisation selon Tune quelconque des 
revendications 1 & 8, dans lequel ledit programme comporte au moins un appel 
a un sous-programme, caracterise en ce que ladite etape d'empilement est 
effectuee pendant I'execution dudit sous-programme, et en ce qu'on supprime 
ladite valeur predeterminee de ladite pile apres I'execution dudit sous- 
programme. 

12. Proced6 de securisation selon la revendication 11, caracterise 
en ce que ladite valeur predeterminee est I'adresse d ! une fonction de traitement 
d'une anomalie. 



lei utijjut 
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13. Support conformations lisible par un systeme informatique, 
eventuellement totalement ou partiellement amovible, notamment CD-ROM ou 
support magnetique, tel un disque dur ou une disquette, ou support 
transmissible tel un signal electrique ou optique, caracterise en ce qu'il 

5 comporte des instructions d'un programme informatique permettant la mise ne 
oeuvre d'un procede de securisation selon I'une quelconque des revendications 
1 a 12, lorsque ce programme est charge et execute par un systeme 
informatique. 

14. Programme d'ordinateur stocke sur un support d'informations, 
10 ledit programme comportant des instructions permettant la mise en ceuvre d'un 

procede de securisation selon I'une quelconque des revendications 1 a 12, 
lorsque ce programme est charge et execute par un systeme informatique. 

15. Entite electronique securisee caracterisee en ce qu'elle 
comporte des moyens de mise en oeuvre d'un procede de securisation selon 

15 I'une quelconque des revendications 1 a 12. 

16. Entite electronique selon la revendication 15 caracterisee en 
ce qu'elle est une carte a microcircuit. * : 
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